Kontrolowane szpitale i przychodnia nie zawsze zapewniały prawidłową ochronę danych pacjentów przed cyberatakami oraz rzetelne ich przetwarzanie. Zdarzało się, iż nie przestrzegano w tym zakresie zarówno wewnętrznych regulacji, jak i obowiązujących przepisów dotyczących bezpieczeństwa informacji, w tym ochrony danych pacjentów. Kontrola wykazała, iż dostęp do danych medycznych pacjentów w systemach informatycznych miała część personelu niemedycznego, a także byli pracownicy placówek. Odnotowano również poświadczanie nieprawdy podczas wytwarzania dokumentów – wynika z najnowszego raportu Najwyższej Izby Kontroli (NIK).
Kontrolę NIK przeprowadzono w województwie warmińsko – mazurskim. Celem kontroli było ustalenie, czy rozwiązania funkcjonujące w tych podmiotach zapewniły prawidłową ochronę danych pacjentów przed cyberatakami oraz rzetelne ich przetwarzanie. W okresie objętym kontrolą, tj. w latach 2020-2023 (I półrocze) wszystkie badane jednostki prowadziły działania mające na celu zapewnienie bezpieczeństwa informacji, w tym danych pacjentów. Jednakże w większości z nich (sześć podmiotów) odbywało się to w sposób nierzetelny i/lub nieadekwatny do rodzaju i skali przetwarzanych danych. Nie przestrzegano bowiem w tym zakresie części wewnętrznych regulacji oraz obowiązujących przepisów prawa dotyczących bezpieczeństwa informacji, w tym ochrony danych pacjentów.
Minister Zdrowia uznał w lipcu 2022 r. trzy z siedmiu skontrolowanych podmiotów za operatorów świadczących usługi najważniejsze (OUK), mające najważniejsze znaczenie dla krytycznej działalności społecznej lub gospodarczej państwa. Przychodnie i szpitale mają ustawowy obowiązek wprowadzenia systemu zarządzania bezpieczeństwem informacji opracowanego na podstawie Polskiej Normy (PN-ISO/IEC 27001 – Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności – Systemy zarządzania bezpieczeństwem informacji – Wymagania). Co prawda spośród siedmiu skontrolowanych publicznych zakładów opieki zdrowotnej w pięciu opracowano i wdrożono SZBI (Olsztyn, Działdowo, Elbląg, Mrągowo oraz Dywity), jednak w Olsztynie i w Mrągowie tylko niektóre elementy systemu zostały opracowane na podstawie Polskiej Normy, a w Dywitach SZBI zaczął obowiązywać dopiero od 2023 r.
Kontrolerzy NIK dokonali oględzin sprzętu i programów, służących bezpieczeństwu informacji oraz ochronie danych pacjentów. Łącznie poddano analizie 80 stanowisk komputerowych obsługiwanych przez lekarzy, pielęgniarki i pracowników niemedycznych. Celem było sprawdzenie realizacji postanowień obowiązujących przepisów wewnętrznych (w szczególności SZBI) przez pracowników skontrolowanych placówek medycznych. Podczas oględzin sprawdzono m.in. aktualność systemu operacyjnego i systemu antywirusowego, sposób logowania się użytkowników, w tym liczbę znaków haseł, zawartość pulpitu i folderów systemowych pod kątem danych pacjentów, dostęp do portów usb, a także otoczenie stanowisk pod kątem zapisanych haseł w miejscach ogólnie widocznych.
W dwóch podmiotach nie stwierdzono nieprawidłowości (Działdowo i Pasłęk). W pozostałych pięciu jednostkach wykryto szereg istotnych nieprawidłowości w przestrzeganiu obowiązujących procedur w ramach SZBI. Na przykład w Szpitalu Mrągowskim przez foldery systemowe (pulpit, obrazy, pobrane, dokumenty) siedmiu stanowisk komputerowych wykorzystywanych przez lekarzy i pielęgniarki możliwy był swobodny dostęp każdego użytkownika danego stanowiska, a także innych osób. Osoby postronne miały więc dostęp, m.in. do znajdujących się w tych folderach plików z informacjami zawierającymi: dane osobowe pacjentów ( imię, nazwisko, PESEL, adres zamieszkania, data urodzenia), rodzaje badań laboratoryjnych, rozpoznania, daty rozpoczęcia oraz zakończenia zabiegu, rodzaje wykonanych zabiegów, zalecone badania diagnostyczne, opis uzasadnienia konieczności niezwłocznej hospitalizacji, skierowanie do szpitala czy dane lekarza. Informacje zawarte w tych plikach były zapisane w postaci skanów (dowody osobiste, paszporty, karty ekuz), zrzutów z ekranu , kart segregacji medycznej oraz wykazów w postaci różnego rodzaju zestawień.
W związku ze stwierdzonymi nieprawidłowościami Najwyższa Izba Kontroli przedstawiła łącznie 21 wniosków pokontrolnych, z czego według stanu na 20 maja 2024 r. zostało zrealizowanych siedem, zaś 14 pozostawało w realizacji.